Lösungen im Weitverkehr

Sicher Daten übertragen mit VPNs

26.06.2008 von Jürgen Mauerer
Virtual Private Networks (VPN) verbinden Rechner oder Netzwerke über das Internet und sorgen dabei für die sichere Übertragung der Daten. Dieser Artikel zeigt, wie ein VPN funktioniert, welche VPN-Varianten es gibt und für welche Einsatzszenarien sie am besten geeignet sind.

Das Internet hat die Kommunikationswege beschleunigt und damit die Arbeit in den Unternehmen stark verändert. So greifen immer mehr Mitarbeiter von außen auf das Unternehmens-Netzwerk zu: Der mobile Außendienst-Mitarbeiter ruft seine E-Mails oder eine Auftragsbestätigung via Notebook oder Smartphone ab, die Kollegen aus inländischen oder weltweiten Niederlassungen benötigen wichtige Daten, wieder andere Beschäftigte arbeiten überwiegend vom Home Office aus, um ihr Berufs- und Privatleben besser unter einen Hut zu bringen. Auch externe Partner und Kunden erhalten verstärkt Zugriff auf interne Informationen von Unternehmen.

Via VPN lassen sich Standorte und mobile Mitarbeiter an das Firmennetz anbinden. Bei Bedarf erfolgt der Zugriff auch über einen Hotspot.
Foto: T-Systems

Sie alle profitieren von den Vorteilen des World Wide Webs. Verbindungen über das Internet sind zeit- und ortsunabhängig und zwei Rechner lassen sich mit wenig Aufwand miteinander verbinden, selbst wenn sie auf unterschiedlichen Kontinenten stehen. Doch das Internet hat auch Schattenseiten. Hacker-Attacken, Würmer oder Trojaner verschaffen Unbefugten Zugriff auf ungeschützte Rechner und Netzwerke. Ohne Verschlüsselung und ohne passende Schutzvorkehrungen können zudem gesendete Daten gelesen und manipuliert werden.

Kommunikation über sichere Netzwerke ist also ein Muss in einer Zeit, in der die Medien voll sind von Berichten über Viren, Würmer oder Hacker-Angriffen. Abhilfe schaffen Virtual Private Networks (VPN), virtuelle private Netze. Sie sichern Daten bei der Übertragung ab, da sie eine Reihe von Schutzmechanismen gegen Angriffe bieten.

So arbeitet ein VPN

Die Arbeitsweise eines VPNs ist im Prinzip sehr einfach. Man erzeugt über Verschlüsselung ein kleines Netzwerk innerhalb eines großen Netzes, das nur mit den passenden Adressen und Passwörtern zugänglich ist, das heißt nur berechtigte Benutzer können miteinander kommunizieren. Ein VPN stellt somit eine Art überwachte private Leitung innerhalb des Internets her. Es verbindet Rechner oder Netzwerke miteinander, indem es andere Netzwerke als Transportweg benutzt. Dem Benutzer bleibt der tatsächliche Übertragungsweg verborgen, er ahnt nichts vom zwischengeschalteten (virtuellen) Netzwerk.

Ein Beispiel: Ein mobiler Mitarbeiter verbindet sich von irgendeinem Hotel dieser Welt mit der Firmenzentrale, um wichtige Daten zu übermitteln. Damit die Übertragung sicher verläuft, baut das VPN eine virtuelle IP-Umgebung auf. Der Client beim mobilen Mitarbeiter verschlüsselt die Daten, die über diese Verbindung übertragen werden sollen, und verpackt diese in einem anderen Datenpaket, das über das Internet an die Firmenzentrale gelangt. Dort entschlüsselt der VPN-Server das Originalpaket und verarbeitet es weiter. Dieses Verfahren wird auch als Tunneling bezeichnet, da die zu schützenden Daten wie durch einen Tunnel fließen. Dabei stellt das VPN sicher, dass die Daten auf dem Transport weder mitgelesen noch verändert werden können und dass sie von einem autorisierten Sender stammen.

Varianten, Standards und Protokolle

Der IPSec-Standard stellt einen gesicherten Tunnel über das öffentliche Internet her, so dass die Datenübertragung geschützt ist.
Foto: T-Systems

Grundsätzlich gibt es drei Spielarten von VPNs: Client to Client (End to End), Client to Network (Site to End) sowie Network to Network (Site to Site). Am häufigsten ist die zweite Variante Client to Network, um einen Mitarbeiter von zu Hause oder unterwegs mit dem Unternehmensnetz zu verbinden. Doch auch die sichere Verbindung der Netzwerke verschiedener nationaler und internationaler Standorte und Zweigstellen eines Unternehmens ist sehr häufig (Network to Network). Eher seltener kommt die End to End-Variante vor, bei der sich der Mitarbeiter via VPN nicht in ein entferntes physikalisches Firmennetz einwählt, sondern direkt an einen Server bindet. VPN dient hier dem gesicherten Zugriff auf den Server.

Verschiedene Techniken bieten sich zum Aufbau eines virtuellen privaten Netzwerks an, aber nicht alle passen zum gedachten Einsatzszenario. Eine Übersicht über Standards und Protokolle erleichtert die Auswahl. Das derzeit am häufigsten eingesetzte VPN-Protokoll ist IPsec (IP Security), weitere mögliche Protokolle sind L2TP, PPTP und ViPNet. Dieser Artikel beschränkt sich angesichts der Marktbedeutung auf IPsec.

In letzter Zeit gewinnen VPNs an Bedeutung, die auf Techniken wie SSL (Secure Socket Layer) oder MPLS (Multi Protocol Label Switching) beruhen. SSL-VPNs werden auch als webbasierende VPNs bezeichnet. Sie haben - vereinfacht ausgedrückt - das Ziel, dass der Anwender von unterwegs möglichst einfach und sicher auf Web-Anwendungen zugreift, ohne direkten Zugriff auf das Unternehmensnetz zu erhalten. Bei MPLS nutzt ein Unternehmen für das VPN nicht das Internet als öffentliches Netzwerk, sondern das Netzwerk eines Service Providers.

IPsec-VPN

Am gebräuchlichsten sind derzeit VPNs mit dem IP Security Protocol (IPsec). Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentication Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management). Der Authentication-Header schützt die Daten vor Verfälschung und enthält die Informationen, ob das Datenpaket während der Übertragung verändert wurde und ob der Absender identisch ist (Authentifizierung). ESP verschlüsselt die Daten und schützt vor unbefugten Zugriffen, während das Internet Key Exchange Protocol (IKE) eingesetzt wird, um die Parameter für das Verschlüsselungsverfahren auszutauschen (Key Management).

Zudem hat der Anwender die Wahl, mit IPsec die Datenpakete im Transport- oder Tunnel-Modus über das Netz zu verschicken. Der grundlegende Unterschied: Beim Transport-Modus bleibt die originale IP-Adresse des Absenders weiterhin sichtbar, während der Tunnel-Mode diese während der Übertragung verschleiert; sie kommt erst bei der Entschlüsselung beim Empfänger wieder zum Vorschein. Der Tunnelmodus empfiehlt sich vor allem bei der Verknüpfung der Netze unterschiedlicher Standorte (Site to Site), der Transport-Modus insbesondere dann, wenn zwei Rechner miteinander über IPsec im LAN kommunizieren (End to End).

Dank seiner ausgefeilten Sicherheitsmechanismen ist IPsec besonders für den Transport von vertraulichen Daten geeignet. Diese hohe Sicherheit wird jedoch durch einen erheblichen Konfigurationsaufwand erkauft. Zudem ist zusätzliche Hardware in Form von VPN-Gateways oder Access-Routern mit integrierter VPN-Funktionalität sowie die Installation eines VPN-Clients notwendig.

SSL-VPN

VPN-Services vernetzen mehrere Standorte mit der Zentrale. Die Dimension des gesicherten Netzes lässt sich dem Bedarf anpassen.
Foto: T-Systems

Da der Aufbau von IPsec-VPNs relativ komplex ist, gibt es auch einfachere VPN-Lösungen. Dazu gehören so genannte webbasierende SSL-VPNs, die zur Sicherung auf den Standard Secure Socket Layer (SSL) setzen. Bei dieser VPN-Variante erhält der Anwender meist keinen direkten Zugriff auf das Unternehmensnetz. Daher ist dieser Ansatz vor allem für Firmen interessant, die viel mit freien Mitarbeitern arbeiten und diesen nur einen begrenzten Zugriff auf die IT-Anwendungen und -Ressourcen einräumen wollen. Auch für die temporäre Anbindung externer Partner wie Kunden und Lieferanten ist ein SSL-VPN gut geeignet. Der Schwerpunkt liegt daher auf dem Netzwerkzugriff für mobile Anwender; für die Vernetzung mehrerer Standorte untereinander hat SSL VPN keine praktische Bedeutung, dort ist IPsec erste Wahl.

Im Wesentlichen gibt es drei verschiedene SSL VPN-Typen:

Für die meisten SSL VPNs gilt, dass eine Sitzung über eine Anmeldung auf einer Website gestartet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in der Regel über diese Webseite (Portal). Daher kann man auch schnell von einem Internet-Cafe aus auf Unternehmensanwendungen zugreifen. Dies gilt jedoch nicht für SSL VPNs mit Fat Client, die sich von klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden. Sie verwenden in der Regel einen Client, der installiert werden muss und über dessen Aufruf auch die Anmeldung am VPN erfolgt.

MPLS

Für größere Unternehmen, die etwa Filialen und Außenstellen per VPN anbinden wollen, bieten sich als Alternative zu IPsec auch VPNs mit MPLS-Technologie (Multi Protocol Label Switching) an. Hier kann die Firma ebenfalls günstige Infrastrukturprodukte wie DSL nutzen, muss sich aber nicht selbst um die Konfiguration und Administration des VPNs kümmern. Diese Aufgaben übernimmt ein Service Provider, der das MPLS-VPN als verwalteter Dienst über sein eigenes Netzwerk ausführt. Der Branchenverband VPNC (Virtual Private Network Consortium) bezeichnet diese Spielart auch als trusted VPNs im Gegensatz zu den secure VPNs, zu denen er IPsec- und SSL-VPNs zählt.

MPLS ist wie IP eine Technologie, die Datenverkehr verschiedener Protokolle über den gleichen Kanal übertragen kann. Sie kennzeichnet jedes Datenpaket mit einem Label, damit alle Pakete aus einer Sitzung in denselben Datenstrom gelangen und schnell übertragen werden. Da MPLS damit Verbindungsausfälle im Netzwerk umgeht und gleich bleibende Verfügbarkeit gewährleistet, eignet sich die Technologie sehr gut zur Weiterleitung von Daten zwischen Standorten in einem verwalteten Netz.

VPN-Lösung im Unternehmen

Große Unternehmen, die mehrere Standorte miteinander verbinden, sollten den Aufbau und den Betrieb ihres VPN an einen externen Dienstleister übergeben, der bei Störungen schnell zur Stelle ist.

Für kleine und mittlere Unternehmen, bei denen sich oft externe Mitarbeiter in das Netzwerk einwählen und die nur wenige Standorte miteinander vernetzen, lohnt sich eine selbst administrierte Hardware-Lösung. Denn VPN-Gateways wie Router mit VPN-Funktionalität oder eine VPN-fähige Firewall-Lösung sind mit wenig Aufwand sofort einsatzbereit. Der Vorteil: Auf den Rechnern im Firmen-LAN muss keine zusätzliche Software installiert werden, da die gesamte VPN-Konfiguration auf dem VPN-Gateway erfolgt. Sie sollten dabei darauf achten, dass die VPN-Gateways sowohl IPsec als auch SSL unterstützen, um für jedes Einsatzszenario die beste Lösung verwenden zu können.

Die externen Mitarbeiter können auf ihren Rechnern entweder kostengünstig den VPN-Client ihres Betriebssystems nutzen oder sich einen entsprechenden DSL-Router mit VPN-Funktionalität kaufen.